Websecurity - Веб безпека

Про свої прогнози на 2007 рік я вже писав, а зараз пропоную вам прогнози від відомої секюріті компанії.

Антивірусна лабораторія компанії Panda Software зробила прогноз головних загроз для комп’ютерів у 2007 році. На думку фахівців лабораторії, основні проблеми як для користувачів, так і для компаній, що забезпечують безпеку, будуть ті ж, що й у 2006 році. Цільові атаки, тобто атаки, цілеспрямовано орієнтовані на ураження конкретних об’єктів; уразливості в системному програмному забезпеченні й онлайнове шахрайство, особливо фішинг буде знову відігравати ведучу роль. Очевидно, загальним знаменником для всіх цих атак знову буде фінансовий прибуток.

PandaLabs також прогнозує розвиток методів соціальної інженерії, особливо стосовно спаму, приймаючи в увагу, що в останні місяці 2006 року поштова макулатура широко використовувалася для підйому котирувань цінних паперів, і навіть для впливу на результати виборів.

Використання уразливостей - це ще один фактор, який варто взяти до уваги. Кіберзлочинці постараються скористатися часом між виявленням уразливості і виходом відповідного патча від розробників. Хакери постараються ідентифікувати невідомі проблеми безпеки у всіх типах популярних додатків.

По матеріалам http://www.securitylab.ru.

Західні фахівці вважають однією з головних небезпек, що загрожують розвитку Інтернету, “ботнети” (botnet) - мережі, що запущені за допомогою автономного програмного забезпечення.

У більшості випадків “ботнет” створюється хакером за допомогою спеціальних програм-вірусів. Потрапляючи на чужий комп’ютер такий додаток починає підключатися до мережі і допомагає посилати спам, здійснювати шахрайську діяльність, проводити DoS атаки, тощо.

Боротися зі створенням таких нелегальних мереж надзвичайно складно, тому що більшість операційних систем усе ще залишаються досить уразливими. Навіть нова ОС Windows Vista із проробленою захисною системою була успішно взломана і викладена в BitTorrent ще до офіційного реліза.

Виробники упевнені, що справитися з загрозою можна тільки завдяки спільним зусиллям уряду, телекомунікаційних фірм, користувачів і авторів програмного забезпечення.

По матеріалам http://itua.info.

В Україні щорічно розкривається близько 500 злочинів у сфері використання комп’ютерних технологій. Про це повідомив заступник начальника Департаменту державної служби боротьби з економічною злочинністю МВС України Сергій Лебідь сьогодні в Києві в ході роботи конференції з питань міжнародного співробітництва в рамках положень конвенції Ради Європи про кіберзлочинність.

За його словами, з початку роботи Департаменту МВС України з 2002 року правоохоронці в цілому розкрили 2535 злочинів, зроблених у сфері комп’ютерних технологій. На сьогоднішній день працівниками МВС України довершене розслідування по 1663 кримінальних справах, що передані в суди. Торік, як відзначив Сергій Лебідь, таких злочинів було розкрито 583, з яких 415 спрямовані в українські суди.

Зі своєї сторони начальник відділу по боротьбі з правопорушеннями в сфері високих технологій МВС України Віталій Бутусов уточнив, що в 2006 році найбільш розповсюдженими злочинами були шахрайство з використанням комп’ютерної техніки, несанкціонований збут і поширення інформації з обмеженим доступом, несанкціоноване втручання в роботу комп’ютерних і телекомунікаційних систем, підробки банківських платіжних карток, а також шахрайство з боку операторів зв’язку й абонентів телекомунікаційних компаній.

По матеріалам http://unian.net.

P.S.

За рік МВС розкриває всього 500 злочинів (з яких лише 70% доходить до судів). Скільки не розкриває, про це не повідомляється (і це явно величина іншого порядку). Тому МВС треба ще над цим посилено працювати.

Виявлена можливість обходу анти-фішинг фільтрів в Firefox та Opera (protection bypass).

Уразливі продукти: Firefox 2.0, Opera 9.10.

Можливо обійти захист від фішинга додавши “.” до імені хоста.

• Firefox 2.0.0.1 and Opera 9.10 Anty Fraud/Phishing Protection bypass. (деталі)

З ініціативи Єврокомісії вчора в Європі пройшов четвертий День безпечного Інтернету (з чим вас і поздоровляю). Його ціль - роз’яснення загроз, що несе Всесвітня павутина, у першу чергу підростаючому поколінню.

Головним координатором Дня безпечного Інтернету стала некомерційна організація Insafe (European Safer Internet Network). Її задачею, як зазначено на сайті, є “підтримка громадян у безпечному, етичному й ефективному використанні Інтернету, так само як і інших інформаційних та комунікаційних технологій”.

Необхідність залучення уваги до проблеми безпеки в Мережі викликана тим, що віртуальне середовище давно зрівнялося по небезпеці з реальним. Неприємності, що приходять з комп’ютера, приблизно ті ж, що й у звичайному житті: віруси, крадіжки і грабежі, хамство і переслідування, вимагання і погрози, неетична і нав’язлива реклама, тероризм і екстремізм.

У нинішньому році День безпечного Інтернету покликаний звернути увагу громадськості і влади в європейських країнах на небезпеку використання дітьми мобільних телефонів, що нерідко заміняють їм комп’ютери. Саме діти і підлітки сьогодні найменш захищені від потоку негативної інформації з Інтернету, наголошують експерти.

По матеріалам http://www.securitylab.ru.

Брайан Кребс, оглядач Washington Post, що спеціалізується на висвітленні технологічних і комп’ютерних тем, порахував, що торік браузер Internet Explorer був уразливий протягом 284 днів.

Протягом 284 днів (більш 9 місяців) експлоіти для відомих, невиправлених критичних уразливостей в Internet Explorer були доступи в Інтернет. Також протягом 98 днів були відсутні виправлення для уразливостей, що активно експлуатувалися мережевими злочинцями, щоб викрасти особисті та фінансові дані користувачів.

При цьому для браузера Mozilla Firefox, основного конкурента IE, торік спостерігалася принципово інша картина - за весь рік був лише єдиний подібний випадок, коли протягом дев’яти днів існував опублікований експлоіт, для якого не був випущений патч. Однак слід зазначити, що сумарно в Mozilla Firefox було виявлено в 2 рази більше критичних уязвимостей, ніж в Internet Explorer.

Торік було виявлено 10 уразливостей в IE, виправлення до яких з’явилися після того, як привселюдно була опублікована інформація про уразливість (я також в себе публікував подібні експлоіти).

Злочинці, що спеціалізуються в інтернет-шахрайстві, одержували велику частину своїх доходів експлуатуючи уразливості в браузері Internet Explorer торік. У 2006 році компанія Microsoft опублікувала 5 виправлень для 0day дір (це уразливості, про які виробник довідався в момент їхньої активної експлуатації злочинцями).

По матеріалам http://www.securitylab.ru.

Користувачі популярної соціальної мережі MySpace, ризикують стати жертвами фішерів. Деякий час тому в мережі був замічений шкідливий відеоролик у форматі QuickTime MOV, що експлуатує уразливість у програмному забезпеченні MySpace і особливості реалізації JavaScript у медіаплеєрі Apple (про подібний напрямок атаки я вже писав XSS в Quicktime, а також про XSS вірус в Quicktime).

Зараження користуцького профілю відбувається при відвідуванні сторінки в MySpace, що містить створений спеціальним чином відеофайл. Причому якщо для перегляду сторінки застосовується браузер Microsoft Internet Explorer, то шкідливий код активується автоматично, відзначають у компанії F-Secure. Після цього хробак видозмінює профіль, додаючи посилання на фішерські сайти. Крім того, шкідлива програма заміняє стандартний навігаційний рядок MySpace на новий, виконану в синьому кольорі.

Як видно, основна мета зловмисників, що поширили шкідливий відеоролик, полягає в тім, щоб заманити користувачів MySpace на підставні сайти і виманити в них конфіденційні дані. Такі сайти копіюють дизайн MySpace, і тому неуважні користувачі можуть цілком залишити на них свою реєстраційну інформацію.

Це вже не перший випадок, коли користувачі соціальної мережі MySpace стають жертвами кіберзлочинців. Раніше зловмисники вже намагалися шахрайством виманити в передплатників сервісу конфіденційні дані і поширити в MySpace програмне забезпечення, що відображає рекламні банери.

По матеріалам http://www.secblog.info.

30.01.2007

В багатьох браузерах виявлені уразливості пов’язані з короткочасними умовами (race conditions). Існують різні умови, пов’язані з міжпотоковою синхронізацією, що приводять до ушкодження пам’яті, коли кілька подій відбуваються одночасно.

Уразливі продукти: Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Internet Explorer, Netscape 8.1, Firefox 1.5, K-Meleon 1.0.

• Concurrency strikes MSIE (potentially exploitable msxml3 flaws) (деталі)
• Flock Concurrency-related Memory Corruption Vulnerability (деталі)
• Netscape Concurrency-related Memory Corruption Vulnerability (деталі)
• K-Meleon Concurrency-related Vulnerability (деталі)
• Re: Concurrency-related vulnerabilities in browsers - expect problems (деталі)
• Concurrency-related vulnerabilities in browsers - expect problems (деталі)

04.02.2007

Пошкодження пам’яті в Microsoft Internet Explorer.

Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні додатка. Уразлива версія: Internet Explorer 6.x.

Уразливість стану операції існує при перезавантаженні XML файлів в iframe. Зловмисник може за допомогою спеціально сформованого XML файлу викликати пошкодження пам’яті й аварійно завершити роботу браузера.

• Повреждение памяти в Microsoft Internet Explorer (деталі)
• Race condition in the msxml3 module in Microsoft Internet Explorer (IE6 and IE7) (деталі)

На веб-додатки, що написані мовою PHP, приходиться 43% всіх проблем, позв’язаних з безпекою інформаційних мереж. Такі результати дослідження, проведеного в поточному році американським Національним інститутом стандартів і технології (NIST). У 2005 році на частку додатків на платформі PHP приходилося всего 29% уразливостей. З урахуванням того, що число дір у самій мові мінімально, цифри NIST показують, що проблема криється в розробниках, багато хто з яких не є професіоналами в області інформаційних технологій.

Проблеми з PHP здобувають особливу гостроту в той момент, коли дослідники сфери інформаційної безпеки стали звертати особливу увагу на діри у веб-додатках. На початку (минулого) року один з експертів звернув увагу на тенденцію зростання проломів у веб-додатках у цілому (про що я теж відмічав в своїх підсумках 2006 року) і PHP-додатках зокрема. За даними, зібраним за перші 9 місяців 2006 року, веб-додатки зайняли три верхніх позиції в списку найпоширеніших уразливостей. Наприклад, у вересні 45% інцидентів в області інформаційної безпеки були пов’язані з випадками кросс-сайт скриптінга, SQL-ін’єкцій чи уразливостей, пов’язаних зі зміною PHP файлів. В даний час PHP використовується на майже 20 мільйонах доменів і 1,3 мільйонах IP-адрес.

Популярна мова програмування стала об’єктом особливої уваги після того, як групу розробників мови залишив Стефан Ессер, що займався забезпеченням безпеки PHP. Як причину свого виходу Эссер назвав нерозторопність інших розробників у плані ліквідації загроз безпеки. У свою чергу, члени PHP Group заявили, що Эссер залишив їх через те, що втратив інтерес до розробки в складі їхньої команди.

Згідно даним NIST, за станом на 15 грудня з 6198 уразливостей, зафіксованих у 2006 році, 2690 (чи 43%) містили в описі слово “PHP”. “Я думаю, звичайним людям важко створювати безпечні динамічні веб-додатки. Мови для створення сайтів повинні бути максимально адаптовані під “чайників”. У багатьох випадках я, будучи професіоналом в області безпеки, ламав голову над тим, як зміцнити безпеку коду. Я хотів зміцнити її, але для мене не було очевидним, як це зробити”, - заявив представник NIST Пітер Мелл.

По матеріалам http://www.securitylab.ru.

Нещодавно, 22.01.2007 вийшов новий реліз WordPress 2.1 (Ella), лише через тиждень після виходу WordPress 2.0.7.

WordPress 2.1 - це нова гілка WP, яка буде розвиватися окремо від 2.0.x (оновлення будуть випускатися паралельно, але основна увага буде приділена розвитку саме 2.1.x гілки). В цій версії зроблено чимало виправлень помилок та уразливостей (всього в версії 2.1 більше 550 виправлень), та додано нові функції.

В новій версії:

• Функція автозбереження (autosave).
• Новий редактор з закладками (табами), що дозволить прямо під час написання записів миттєво перемикатися між режимами WYSIWYG та редагування коду.
• Імпор та експорт XML без втрат.
• В новому переробленому візуальному редакторі з’явилася перевірка орфографії (spell checker).
• Нова опція приватності від пошуковців (search engine).
• Можливість виставляти будь яку “сторінку” головною сторінкою.
• Оновлений та більш ефективний код роботи з БД (більш шивидкий).
• В лінки додана підтримка підкатегорій.
• Перероблена логін сторінка.
• Більше AJAX функціоналу в інтерфейсі, для швидкої та зручної роботи.
• Сторінки тепер можуть бути як чернетка чи приватна.
• Оновлена адмінка.
• Дошка оголошень зараз процює миттєво та асинхронно скачує RSS фіди в фоні.
• В фіді кометарів зараз включені всі коментарі, а не лише 10.
• Краща інтернаціоналізація.
• Менеджер заватажень дозволяє з легкістю керувати зображеннями, відео та аудио.
• В поставку входить нова версія плагіна Akismet.
• Та багато іншого.

Нові функції для розробників:

• Псевдо-cron функціональність.
• Покращене керування юзерами для адміна.
• Новий WP_Error клас для виведення помилок.
• Новий завантажувач javascript для розробників плагінів.
• Тонни нових хуків та API.
• Розпочато вбудоване документування коду.
• Нове API для зображень та ногітків для розробників плагінів.
• Власні заголовки, вибирачі кольору та обрізачі зображень фреймворки.

Починаючи з цієї версії розвиток Вордпресу піде по гілці 2.1 (та наступним), але попередня гілка 2.0 буде підтримуватися аж до 2010 (будуть випускатися виправлення помилок та уразливостей).

Очікується, що наступна версія WP з’явиться 23 квітня.